picasso

Po skanie MBAM nie ma pożądanych zmian. Malware nadal widoczne w Addition. Moje instrukcje nadal aktualne.

Skan nie wykazuje naruszeń globalnych. Ale jeszcze usuń szczątki po nieistniejących już przeglądarkach: Otwórz Notatnik i wklej w nim: Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Chromium /f Reg: reg delete HKLM\SOFTWARE\Clients\StartMenuInternet\Chromium.3WKGBBX5GLKWDXRQUZNUXR74H4 /f Reg: reg delete HKLM\SOFTWARE\Clients\StartMenuInternet\Opera /f Reg: reg delete HKLM\SOFTWARE\Classes\.htm\OpenWithProgIDs /v Opera.HTML /f Reg: reg delete HKLM\SOFTWARE\Classes\.htm\OpenWithProgIDs /v ChromiumHTM.3WKGBBX5GLKWDXRQUZNUXR74H4 /f Reg: reg delete HKLM\SOFTWARE\Classes\.html\OpenWithProgIDs /v Opera.HTM /f Reg: reg delete HKLM\SOFTWARE\Classes\.html\OpenWithProgIDs /v ChromiumHTM.3WKGBBX5GLKWDXRQUZNUXR74H4 /f Reg: reg delete HKLM\SOFTWARE\Classes\.shtml\OpenWithProgids /v ChromiumHTM.3WKGBBX5GLKWDXRQUZNUXR74H4 /f Reg: reg delete HKLM\SOFTWARE\Classes\.xht\OpenWithProgIDs /v Opera.HTML /f Reg: reg delete HKLM\SOFTWARE\Classes\.xht\OpenWithProgIDs /v ChromiumHTM.3WKGBBX5GLKWDXRQUZNUXR74H4 /f Reg: reg delete HKLM\SOFTWARE\Classes\.xhtml\OpenWithProgIDs /v Opera.HTML /f Reg: reg delete HKLM\SOFTWARE\Classes\.xhtml\OpenWithProgIDs /v ChromiumHTM.3WKGBBX5GLKWDXRQUZNUXR74H4 /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Wygląda na to, że wszystko wykonane. Na zakończenie: 1. Zastosuj DelFix, następnie wyczyść foldery Przywracania systemu: KLIK. 2. Sugeruję też na wszelki wypadek zmienić hasła logowania w serwisach internetowych.

Logi nic tu nie wnoszą do sprawy, choć jest nowy element, tzn wadliwe serwisy Malwarebytes Anti-Malware. Opisywane przez Ciebie błędy nawet nie wiadomo czy z powodu infekcji. Na razie sugeruję: 1. Odinstaluj wadliwy Malwarebytes Anti-Malware. 2. Przeprowadź sprawdzanie dysku pod kątem błędów. Start > w polu szukania wpisz cmd > w oknie wklej komendę i ENTER: chkdsk /f /r Zatwierdź uruchomienie przy następnym starcie i resetuj system, by checkdisk wykonał pracę. Wynik zostanie nagrany w Dzienniku zdarzeń w gałęzi Aplikacja w postaci rekordu z Wininit. Pobierz szczegóły tego rekordu, skopiuj i wklej do posta statystyki. 3. Uruchom "Narzędzie analizy gotowości aktualizacji systemu": KLIK. Gdy narzędzie ukończy dostarcz plik C:\Windows\Logs\CBS\Checksur.log (po zmianie rozszerzenia z *.log na *.txt).

Jeszcze poprawki (uwzględniam to co wykrył AdwCleaner). Otwórz Notatnik i wklej w nim: Reg: reg delete HKCU\Software\AppDataLow\Software\PriceGong /f Reg: reg delete HKCU\Software\AppDataLow\Software\Tbccint /f Reg: reg delete "HKCU\Software\Avg Secure Update" /f Reg: reg delete HKCU\Software\PRODUCTSETUP /f Reg: reg delete HKCU\Software\Tbccint /f Reg: reg delete HKCU\Software\Tbccint_HKLM /f Reg: reg delete HKLM\SOFTWARE\Classes\CLSID\{F83D1872-D9FF-47F8-B5A0-49CC51E24EE8} /f Reg: reg delete HKLM\SOFTWARE\Classes\Interface\{813A22E0-3E2B-4188-9BDA-ECA9878B8D48} /f Reg: reg delete HKLM\SOFTWARE\Classes\Toolbar.CT3327997 /f Reg: reg delete "HKU\.DEFAULT\Software\Avg Secure Update" /f RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\apn RemoveDirectory: C:\ProgramData\Tbccint RemoveDirectory: C:\Users\Artur\AppData\LocalLow\Tbccint Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt. Sprawdź czy zmienia postać rzeczy rekonfiguracja akceleracji sprzętowej: KLIK. O co konkretnie chodzi? Komentując to co jest widoczne w Addition: Application errors: ================== Error: (07/11/2015 03:47:17 PM) (Source: WinMgmt) (EventID: 10) (User: ) Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003 Error: (07/11/2015 03:45:53 PM) (Source: Software Protection Platform Service) (EventID: 12293) (User: ) Description: Publikowanie usługi zarządzania kluczami w systemie DNS w domenie „” nie powiodło się. Informacje: 0x80070057 Error: (07/11/2015 03:45:48 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: NvNetworkService.exe, wersja: 1.0.2.5, sygnatura czasowa: 0x52e70698 Nazwa modułu powodującego błąd: NvNetworkService.exe, wersja: 1.0.2.5, sygnatura czasowa: 0x52e70698 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x000b057c Identyfikator procesu powodującego błąd: 0x8a0 Godzina uruchomienia aplikacji powodującej błąd: 0xNvNetworkService.exe0 Ścieżka aplikacji powodującej błąd: NvNetworkService.exe1 Ścieżka modułu powodującego błąd: NvNetworkService.exe2 Identyfikator raportu: NvNetworkService.exe3 System errors: ============= Error: (07/11/2015 03:50:44 PM) (Source: volsnap) (EventID: 36) (User: ) Description: Wykonywanie kopii w tle woluminu C: zostało przerwane, ponieważ nie można powiększyć magazynu kopii w tle z powodu limitu wprowadzonego przez użytkownika. Error: (07/11/2015 03:45:49 PM) (Source: Service Control Manager) (EventID: 7034) (User: ) Description: Usługa NVIDIA Network Service niespodziewanie zakończyła pracę. Wystąpiło to razy: 1. - Błąd WMI (WinMgmt) numer 10 nie ma żadnego znaczenia. Jego likwidacja to jedynie "kosmetyka": KLIK. - Błąd "Software Protection Platform Service" - nie wiem. - Błędy Usługi NVIDIA Network Service (NvNetworkService.exe) - usługę możesz po prostu wyłączyć via services.msc. Alternatywnie, możesz rozważyć deinstalację aktualizatora NVIDIA GeForce Experience 1.8.2. - to nie jest kluczowy elewment zestawu nVidia, może tworzyć problemy. - "Wykonywanie kopii w tle woluminu" - ograniczony magazyn na punkty Przywracania systemu.

Temat przenoszę do działu Windows. Oznak infekcji brak. Nie za bardzo jest też czym się zajmować w rozumieniu "potężnych porządków". 1. Drobne odpadkowe / puste wpisy do usunięcia, czyli "kosmetyka": ----> Uruchom Menedżer urządzeń, w menu Widok włącz pokazywanie ukrytych urządzeń. Sprawdź czy są jakieś odpadki po Paragonie (możliwe nazwy: Universal Image Mounter, UIM Direct Device Image Plugin) oraz HostSpotShield (Anchorfree HSS VPN Adapter). Znalezione odinstaluj. ----> Panel sterowania > Połączenia sieciowe > z prawokliku na każde po kolei Właściwości > w karcie Ogólne sprawdź czy widnieje coś związanego z Anchorfree / HostspotShield. Znalezione odinstaluj. ----> Pozostałe szczątki: 2. Błędy z Dziennika: System errors: ============= Error: (07/14/2015 10:02:09 PM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Grupowanie sieci równorzędnej zależy od usługi Protokół rozpoznawania nazw równorzędnych, której nie można uruchomić z powodu następującego błędu: %%-2140993535 Error: (07/14/2015 10:02:09 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Protokół rozpoznawania nazw równorzędnych zakończyła działanie; wystąpił następujący błąd: %%-2140993535 Error: (07/14/2015 10:02:09 PM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Grupowanie sieci równorzędnej zależy od usługi Protokół rozpoznawania nazw równorzędnych, której nie można uruchomić z powodu następującego błędu: %%-2140993535 Error: (07/14/2015 10:02:09 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Protokół rozpoznawania nazw równorzędnych zakończyła działanie; wystąpił następujący błąd: %%-2140993535 Error: (07/14/2015 10:02:09 PM) (Source: PNRPSvc) (EventID: 102) (User: ) Description: 0x80630801 Error: (07/14/2015 10:02:09 PM) (Source: PNRPSvc) (EventID: 102) (User: ) Description: 0x80630801 Ten zestaw powinno rozwiązać skasowanie plików C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\PeerNetworking\idstore.* załączone w Fixlist w spoilerze. Application errors: ================== Error: (07/14/2015 10:33:43 AM) (Source: WinMgmt) (EventID: 10) (User: ) Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003 Ten błąd nie ma żadnego znaczenia, ale można go dla "czystości dziennika" zlikwidować, posiłkując się instrukcjami z KB2545227. 3. Jest problem z wolnym miejscem na dysku - zbyt mało, postaraj się poszerzyć przestrzeń: ==================== Drives ================================ Drive c: () (Fixed) (Total:111.79 GB) (Free:4.99 GB) NTFS 4. Po wszystkim zrób nowy log FRST z opcji Scan - dla pozycji Services + Drivers odznacz pola Whitelist, ponadto zaznacz pole Addition. Dołącz też Fixlog.txt ze spoilera. Zacytuję swoją wypowiedź na podobne pytanie:

Jeśli usunięcie potężnego majdanu antywirusowego ma tak nikłe skutki, że sformułowanie to "jakby trochę", to z nowych raportów nic konkretnego nie wynika. 1. W Dzienniku zdarzeń jest bardzo dużo błędów TuneUp Utilities 2012 tego typu: Error: (06/22/2015 06:03:24 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: TuneUpUtilitiesService32.exe, wersja: 12.0.3600.84, sygnatura czasowa: 0x4fc4ec64 Nazwa modułu powodującego błąd: TuneUpUtilitiesService32.exe, wersja: 12.0.3600.84, sygnatura czasowa: 0x4fc4ec64 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x0001f423 Identyfikator procesu powodującego błąd: 0xc78 Godzina uruchomienia aplikacji powodującej błąd: 0xTuneUpUtilitiesService32.exe0 Ścieżka aplikacji powodującej błąd: TuneUpUtilitiesService32.exe1 Ścieżka modułu powodującego błąd: TuneUpUtilitiesService32.exe2 Identyfikator raportu: TuneUpUtilitiesService32.exe3 Sugeruję więc całkowitą deinstalację i tej aplikacji. 2. Sprawdzić też jak Windows się zachowuje w stadium czystego rozruchu: KLIK.

tra Temat jedzie do działu Windows. Wprawdzie brak GMER (niemożliwe uruchomienie), ale póki co brak wskazań że chodzi tu o infekcję. A ten Fix FRST nie miał znaczenia - to była "kosmetyka" i nic poza tym. + No cóż, ten komputer ma mierne parametry sprzętowe - bardzo mało pamięci RAM: ==================== Memory info =========================== Processor: Intel® Celeron® M processor 1.40GHz Percentage of memory in use: 90% Total physical RAM: 503.37 MB Available physical RAM: 46.53 MB Total Pagefile: 1228.19 MB Available Pagefile: 669.7 MB Total Virtual: 2047.88 MB Available Virtual: 1933.42 MB Przy takich statystykach może być ciężko osiągnąć pożądany stan... Tu prędzej nasuwa się dołożenie kostki RAM (o ile jest sens inwestować w stary komputer oraz o ile jest to technicznie wykonalne). Niemniej mam pewne sugestie: 1. Sprawdź czy transfer dysku nie obniżył się z DMA do PIO. Instrukcje w sekcji Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. Ten stan może powstać także bez ingerencji GMER. 2. W systemie bardzo stara wersja Avast - datowanie sterowników na rok 2012. Program mocno inwazyjny, wersja stara, mogą być kłopoty. Odinstaluj program via Dodaj/Usuń programy. Następnie wejdź w Tryb awaryjny Windows i zastosuj dodatkowo Avast Uninstall Utility. Na razie nie instaluj żadnego antywirusa. 3. Wyłącz zbędne wpisy ze staru. Uruchom Autoruns i wykonaj następujące akcje: ----> w karcie Logon odznacz poniższe wpisy: HKLM\...\Run: [sunJavaUpdateSched] => C:\Program Files\Common Files\Java\Java Update\jusched.exe [254336 2013-07-02] (Oracle Corporation) HKLM\...\Run: [EaseUS EPM tray] => C:\Program Files\EaseUS\EaseUS Partition Master 9.2.2\bin\EpmNews.exe HKLM\...\Run: [Adobe ARM] => C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [998088 2015-06-12] (Adobe Systems Incorporated) HKLM\...\Run: [MMTray] => "C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe" HKLM\...\Run: [TkBellExe] => C:\Program Files\Real\RealPlayer\update\realsched.exe [296096 2012-11-28] (RealNetworks, Inc.) HKU\S-1-5-21-2154615204-4275496255-3731553294-1006\...\Run: [MSMSGS] => C:\Program Files\Messenger\msmsgs.exe [1695232 2008-04-14] (Microsoft Corporation) (EaseUS EPM tray + MMTray to puyste szczątki i te zamiast wyłączać po prostu skasuj) ----> w karcie Scheduled Tasks odfajkuj zadania: Task: C:\WINDOWS\Tasks\Adobe Flash Player Updater.job => C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\Microsoft Windows XP End of Service Notification Logon.job => C:\WINDOWS\system32\xp_eos.exe Task: C:\WINDOWS\Tasks\Microsoft Windows XP End of Service Notification Monthly.job => C:\WINDOWS\system32\xp_eos.exe Task: C:\WINDOWS\Tasks\RealUpgradeLogonTaskS-1-5-21-2154615204-4275496255-3731553294-1006.job => C:\Program Files\Real\RealUpgrade\realupgrade.exe Task: C:\WINDOWS\Tasks\RealUpgradeScheduledTaskS-1-5-21-2154615204-4275496255-3731553294-1006.job => C:\Program Files\Real\RealUpgrade\realupgrade.exe ----> w karcie Services odfajkuj: Adobe ARM, JavaQuickStarterService. 4. Zresetuj system. Zrób nowy log FRST z opcji Scan - zaznacz ponownie pole Addition. Opisz czy nastąpiła jakakolwiek poprawa. Przy okazji, w systemie widać uszkodzenie systemowej usługi Czas systemu Windows i tym zajmę się potem: U2 W32Time; %SystemRoot%\System32\svchost.exe -k netsvcs Gdzie konkretnie widzisz pozostałości? Logi FRST są zbyt ograniczone, by ustalić to. Znak po DropBox tylko w Shortcut, skasuj po prostu ten skrót: C:\Documents and Settings\CL\SendTo\Dropbox.lnk Lista kont: ==================== Accounts: ============================= admin (S-1-5-21-2154615204-4275496255-3731553294-1011 - Limited - Enabled) => %SystemDrive%\Documents and Settings\admin Administrator (S-1-5-21-2154615204-4275496255-3731553294-500 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Administrator Guest (S-1-5-21-2154615204-4275496255-3731553294-501 - Limited - Enabled) => %SystemDrive%\Documents and Settings\Guest Tomek (S-1-5-21-2154615204-4275496255-3731553294-1007 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Tomek CL (S-1-5-21-2154615204-4275496255-3731553294-1006 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\CL Konta Administrator i Gość to konta wbudowane w system nie przeznaczone do usuwania, można je po prostu wyłączyć i zostawić w świętym spokoju. Natomiast czy jest jakiś problem z usunięciem kont admin i Tomek? Objaśnij o jakich "innych" mowa. Zaś aktualizacja Google zostaną wyłączone via Autoruns.

To nie jest problem infekcji. Temat przenoszę do innego działu, nie za bardzo wiem czy Windows (wstępnie tam jedziemy) czy Hardware przypisać, bo źródłem problemów było przepinanie dysków: Dziennik zdarzeń jest wytapetowany błędami struktury plików: System errors: ============= Error: (07/14/2015 09:59:06 PM) (Source: Ntfs) (EventID: 55) (User: NT AUTHORITY) Description: A corruption was discovered in the file system structure on volume C:. The Master File Table (MFT) contains a corrupted file record. The file reference number is 0x130000000198db. The name of the file is "". Error: (07/14/2015 09:59:06 PM) (Source: Ntfs) (EventID: 55) (User: NT AUTHORITY) Description: A corruption was discovered in the file system structure on volume C:. The Master File Table (MFT) contains a corrupted file record. The file reference number is 0x1a0000000198d8. The name of the file is "". Error: (07/14/2015 09:59:06 PM) (Source: Ntfs) (EventID: 55) (User: NT AUTHORITY) Description: A corruption was discovered in the file system structure on volume C:. The Master File Table (MFT) contains a corrupted file record. The file reference number is 0x110000000198d4. The name of the file is "". Error: (07/14/2015 09:59:06 PM) (Source: Ntfs) (EventID: 55) (User: NT AUTHORITY) Description: A corruption was discovered in the file system structure on volume C:. The Master File Table (MFT) contains a corrupted file record. The file reference number is 0x160000000198d2. The name of the file is "". Error: (07/14/2015 09:59:06 PM) (Source: Ntfs) (EventID: 55) (User: NT AUTHORITY) Description: A corruption was discovered in the file system structure on volume C:. The Master File Table (MFT) contains a corrupted file record. The file reference number is 0x120000000198ce. The name of the file is "". Error: (07/14/2015 09:59:06 PM) (Source: Ntfs) (EventID: 55) (User: NT AUTHORITY) Description: A corruption was discovered in the file system structure on volume C:. The Master File Table (MFT) contains a corrupted file record. The file reference number is 0x120000000198cc. The name of the file is "". Error: (07/14/2015 09:59:06 PM) (Source: Ntfs) (EventID: 55) (User: NT AUTHORITY) Description: A corruption was discovered in the file system structure on volume C:. The Master File Table (MFT) contains a corrupted file record. The file reference number is 0x120000000198c7. The name of the file is "". Error: (07/14/2015 09:59:06 PM) (Source: Ntfs) (EventID: 55) (User: NT AUTHORITY) Description: A corruption was discovered in the file system structure on volume C:. The Master File Table (MFT) contains a corrupted file record. The file reference number is 0x150000000198c4. The name of the file is "". Error: (07/14/2015 09:59:06 PM) (Source: Ntfs) (EventID: 55) (User: NT AUTHORITY) Description: A corruption was discovered in the file system structure on volume C:. The Master File Table (MFT) contains a corrupted file record. The file reference number is 0x1c0000000198bc. The name of the file is "". Error: (07/14/2015 09:59:06 PM) (Source: Ntfs) (EventID: 55) (User: NT AUTHORITY) Description: A corruption was discovered in the file system structure on volume C:. The Master File Table (MFT) contains a corrupted file record. The file reference number is 0x1b0000000198b7. The name of the file is "". 1. Jeśli chodzi o błędy w strukturze plików: - Błędy MFT kierują w pierwszej kolejności na wywołanie skanu chkdsk z poziomu WinRE. Z tym że sprawdzanie dysku najwyraźniej już miało miejsce (obecność folderu C:\found.000 ze "ścinkami" danych). Nie wiadomo czy one są aktualne, bo czasy pobrane z Dziennika zdarzeń mogą mieć przesunięcia i logi FRST nie są wiarygodne. - Sprawdź czy jest włączony tzw. "Fast startup": KLIK. A jeśli, spróbuj wyłączyć. 2. Jeśli chodzi o pozostałe błędy Windows: Sugeruję zrobić jeszcze "Reset PC". 3. Na wszelki wypadek też głębsza diagnostyka dysku na podstawie wytycznych w Hardware: KLIK.

W systemie widoczny mocno podejrzany wpis, który wygląda jak infekcja z jakiegoś cracka: HKLM\...\Run: [iBC Launcher] => C:\Users\rysio\Downloads\IBC Launcher.exe [769536 2015-06-27] () Przy okazji, jest tu laptop ASUS, toteż dużo firmowych integracji. Jeśli chodzi o uciążliwości przy nawigacji folderów, prawdopodobnie odpowiada za to ASUS WebStorage montujący rozszerzenie powłoki: ShellIconOverlayIdentifiers: [AsusWSShellExt_B] -> {6D4133E5-0742-4ADC-8A8C-9303440F7190} => C:\Program Files (x86)\ASUS\ASUS WebStorage\service\AsusWSShellExt64.dll [2009-11-26] (eCareme Technologies, Inc.) ShellIconOverlayIdentifiers: [AsusWSShellExt_O] -> {64174815-8D98-4CE6-8646-4C039977D808} => C:\Program Files (x86)\ASUS\ASUS WebStorage\service\AsusWSShellExt64.dll [2009-11-26] (eCareme Technologies, Inc.) Program znany z tworzenia błędów explorer.exe. Znaki tego rodzaju są w Dzienniku zdarzeń: Application errors: ================== Error: (07/09/2015 06:48:33 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: explorer.exe, wersja: 6.1.7601.17514, sygnatura czasowa: 0x4ce796f3 Nazwa modułu powodującego błąd: unknown, wersja: 0.0.0.0, sygnatura czasowa: 0x00000000 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x0026f4a6 Identyfikator procesu powodującego błąd: 0x1ef0 Godzina uruchomienia aplikacji powodującej błąd: 0xexplorer.exe0 Ścieżka aplikacji powodującej błąd: explorer.exe1 Ścieżka modułu powodującego błąd: explorer.exe2 Identyfikator raportu: explorer.exe3 Wstępnie do przeprowadzenia następujące akcje: 1. Przez Panel sterowania odinstaluj ASUS WebStorage oraz stare wersje Adobe Flash Player 10 ActiveX, Adobe Flash Player 10 Plugin, Adobe Reader 9.1 MUI, Java 8 Update 31 (64-bit). Sugeruję też przejrzeć głębiej listę ASUSowych integracji i pozbyć się nieużywanych programów. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [iBC Launcher] => C:\Users\rysio\Downloads\IBC Launcher.exe [769536 2015-06-27] () HKLM-x32\...\Run: [gmsd_de_227] => [X] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com FF Plugin-x32: @adobe.com/FlashPlayer -> C:\Windows\system32\Macromed\Flash\NPSWF32.dll No File U3 tmlwf; No ImagePath U3 tmwfp; No ImagePath S3 X6va029; \??\C:\Windows\SysWOW64\Drivers\X6va029 [X] C:\ProgramData\Temp C:\Users\rysio\AppData\Local\{25FDA5A9-C2DC-4782-8CD2-8D5F7BB10CF9} C:\Users\rysio\AppData\Local\IBC_Launcher C:\Users\rysio\AppData\Local\nsc8E39.tmp C:\Users\rysio\AppData\Roaming\FFAFF180-1424352351-81DF-29C9-485B3908407B C:\Users\rysio\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Picexa.lnk C:\Users\rysio\Desktop\Continue CCleaner installation.lnk C:\Users\rysio\Desktop\IBC Launcher*.exe C:\Users\rysio\Desktop\ASUS NIE KASOWAC\Trend Micro Internet Security.lnk C:\Users\rysio\Desktop\gry\League of Legends.lnk C:\Users\rysio\Downloads\*(*)-dp*.exe C:\Users\rysio\Downloads\IBC Launcher.exe C:\Users\Public\Desktop\Picexa.lnk Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Przy okazji wyczyść też Firefox: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. menu Historia > Wyczyść historię przeglądania 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\rysio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer (x86)\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Podaj które problemy są nadal aktualne.

Temat przenoszę do działu Windows. Brak oznak infekcji. Wstępnie sprawdź czy problem nie ma banalnej przyczyny, tzn. aktywność oprogramowania zabezpieczającego. Po kolei dla testu odinstaluj AVG 2015 + AVG Web TuneUp, a także MBAM. Po akcji podaj rezultaty czy jest poprawa.

Wspominasz, że dołączasz GMER, a brak tego raportu. Używałeś ComboFix i na ten temat: KLIK. Nie zostały przedstawione wyniki jego pracy. W systemie grasuje infekcja, która powoduje dewiacje explorer.exe: CustomCLSID: HKU\S-1-5-21-329068152-117609710-1801674531-1004_Classes\CLSID\{0B35E520-7E16-4FCE-8543-A65972F817AA}\InprocServer32 -> C:\Documents and Settings\All Users\Dane aplikacji\{ECEFC883-CB1D-4EA1-819B-7A12A9D4E645}\certmgr.dll (Microsoft Corporation) Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\WINDOWS\explorer.exe CustomCLSID: HKU\S-1-5-21-329068152-117609710-1801674531-1004_Classes\CLSID\{0B35E520-7E16-4FCE-8543-A65972F817AA}\InprocServer32 -> C:\Documents and Settings\All Users\Dane aplikacji\{ECEFC883-CB1D-4EA1-819B-7A12A9D4E645}\certmgr.dll (Microsoft Corporation) R2 yksvc; RUNDLL32.EXE ykx32mpcoinst,serviceStartProc [X] S3 catchme; \??\C:\DOCUME~1\ASD\USTAWI~1\Temp\catchme.sys [X] U3 TlntSvr; No ImagePath HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-329068152-117609710-1801674531-1004\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-329068152-117609710-1801674531-1004\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-329068152-117609710-1801674531-1004\Software\Microsoft\Internet Explorer\Main,Strona wyszukiwania = http://www.msn.com/access/allinone.asp HKU\S-1-5-21-329068152-117609710-1801674531-1004\Software\Microsoft\Internet Explorer\Main,Strona początkowa = http://www.microsoft.com/msoffice/ C:\Documents and Settings\All Users\Dane aplikacji\{ECEFC883-CB1D-4EA1-819B-7A12A9D4E645} C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowe logi: FRST z opcji Scan - zaznacz ponownie pole Addition, by powstały dwa logi - oraz Farbar Service Scanner. Dołącz też plik fixlog.txt oraz plik C:\ComboFix.txt obecny na dysku.

marcin878787 Rozwiązanie powstało tu na forum. Kilka lat temu były tu tematy z tym problemem i na skutek diagnostyki Process Monitor został wyłuskany klucz. Wszystkie późniejsze tematy niż Markiza z tymi uszkodzeniami po ZeroAccess zostały tu rozwiązane. Markiz Uprawnienia są uszkodzone conajmniej w kilku miejscach: "C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft" -> Getting permissions failed. Access Denied. "C:\Windows\System32\config\systemprofile\AppData\LocalLow" -> Getting permissions failed. Access Denied. =================================== permissions of "C:\Windows\System32\config\systemprofile\AppData\LocalLow\Microsoft": Owner: BUILTIN\Administrators DACL(AI): {EMPTY} =================================== "C:\Windows\System32\config\systemprofile\AppData\Roaming" -> Getting permissions failed. Access Denied. "C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft" -> Getting permissions failed. File/Folder not found. Od razu też będę likwidować inne śmieci widziane w raportach FRST, w tym odpadki źle odinstalowanych aplikacji. Druga sprawa: układ zainstalowanych programów wygląda podejrzanie - brak na liście zainstalowanych wielu programów, które najwyraźniej są obecne na dysku i nie są to wersje "portable" (powinny mieć wejścia Uninstall). W kwestii niektórych aplikacji są też duże wątpliwości, np. w ogóle nie widzę Acronisa jako zainstalowanego, a w tle uruchamia się jego usługa (możliwe że są też sterowniki, tylko filtrowane przez FRST). Pozostałymi zgłoszonymi problemami zajmę się potem. Akcja wstępna: 1. W systemie są czynne sterowniki po niepoprawnie odinstalowanym ESET. Zastosuj narzędzie ESET Uninstaller - narzędzie musi być uruchomione z poziomu Trybu awaryjnego Windows. 2. Opuść Tryb awaryjny. Przeglądarka Google Chrome występuje w wersji "development" i prawdopodobnie to adware ją przekonwertowało, gdyż są też polityki Google (normalnie w systemie takich brak). Zresetuj synchronizację (o ile włączona): KLIK. Następnie odinstaluj przeglądarkę, przy deinstalacji zaznacz Usuń także dane przeglądarki. 3. Otwórz Notatnik i wklej w nim: CreateRestorePoint: Winsock: Catalog5 01 C:\Windows\system32\mswsock.dll [232448 2011-02-23] (Microsoft Corporation) ATTENTION: LibraryPath should be "%SystemRoot%\system32\NLAapi.dll" Task: {0A36378C-E030-4334-838F-D5BAF7F3B146} - \RealPlayerRealUpgradeScheduledTaskS-1-5-21-287265340-2162033715-3200400593-1001 No Task File Task: {0E3C05D5-F338-4764-8F8C-75E563E28F97} - \{DDA28B75-1A94-4722-851A-08F006AC722E} No Task File Task: {11EE491C-ACD3-4466-BFC3-9C2961AB8A04} - \Update Service YourFileDownloader No Task File Task: {1439D69F-3B1F-43FC-BADB-B0F78F5A1538} - \RealDownloaderRealUpgradeLogonTaskS-1-5-21-287265340-2162033715-3200400593-1001 No Task File Task: {1CD9CC3F-A321-4D47-B2C1-C0A9E3575252} - \{51FAF599-CCB5-4008-AC8D-7C04486ED45B} No Task File Task: {1E059657-4A8C-4AB1-AC01-7BA51C591431} - \IHUninstallTrackingTASK No Task File Task: {22F320F1-3ACC-4D4F-99A2-EC577DAB55B7} - \{39081E02-A958-4838-8930-A56290DE5A0B} No Task File Task: {2314A513-769C-4FD8-AB32-7F18235845CE} - \Driver Booster SkipUAC (Włodek) No Task File Task: {2FC1444D-A4F6-447C-B240-61253D34CF80} - \RealDownloaderRealUpgradeScheduledTaskS-1-5-21-287265340-2162033715-3200400593-1001 No Task File Task: {346BF516-45C6-4A40-A741-C0E98A3B1257} - \GoogleUpdateTaskUserS-1-5-21-287265340-2162033715-3200400593-1001Core No Task File Task: {422ACBCF-AF3B-4E6C-8A7F-1F67A3E5F4D5} - \GoogleUpdateTaskMachineUA1cff08013b0803d No Task File Task: {4466524B-F383-4A35-9EB5-943C46E74AA1} - \Java Update Scheduler No Task File Task: {4F6EF71A-9CFA-4E7D-AFE6-762B742A43D2} - \Czyszczenie dysku No Task File Task: {50C7F83F-0603-4F4C-BD58-66D3DE0439DA} - \{2018CBF5-F285-41A0-ACC5-F03804DA4901} No Task File Task: {532A66D4-D0D0-423F-B13A-6923AD55DF79} - \{69A0E8F2-2F0B-40C2-80D5-4B5D20D23BE3} No Task File Task: {54DD2F75-E525-42A9-B48A-B82C48491945} - \{27183F03-F422-4258-AB26-70FB870685DC} No Task File Task: {56D8A254-7496-4012-9688-20DED08A4E45} - \GoogleUpdateTaskUserS-1-5-21-287265340-2162033715-3200400593-1001UA1cf6bb4a4e102af No Task File Task: {57A03158-59F1-4B92-8CBF-CE56FBAA1B49} - \RealUpgradeLogonTaskS-1-5-21-287265340-2162033715-3200400593-1001 No Task File Task: {5D077313-58DC-4EB7-A5E4-48AE18121DC8} - \LuckyTab No Task File Task: {5FDB5732-6EC5-42B6-ABF9-C217C3A7F8DC} - \{B57B6D90-E4F0-47E5-8598-3B31C52DD49B} No Task File Task: {621084AB-0B5E-4244-9AED-72223A0CB676} - \{49396C17-83DE-42BF-BDD6-48F57F658EBD} No Task File Task: {66D17CCD-7611-4BDF-9B6F-1165C6B0CEAB} - \{104C05D8-8A0E-45CD-882A-34EFE0CA2F95} No Task File Task: {6871EF3B-CA32-4592-BBEE-5E0D8A037C40} - \{94C356A5-9E6A-4D7D-BAF6-B2B7A031AF1A} No Task File Task: {784D5DF4-2F27-461A-BC1C-2B6361E1453E} - \{55DD3151-0A90-4515-B51F-08CF09501E35} No Task File Task: {79869914-905D-4361-A4F5-D4D6AC98E883} - \GoogleUpdateTaskMachineUA1cf4b86568f057d No Task File Task: {7F33F1D1-DAD5-4E12-82B5-5C578585BB7D} - \{A253B073-536B-483D-8B37-9BE1372613D2} No Task File Task: {89D8349A-B399-4BF7-823B-6FE48AC7D332} - \{D5F027D9-B068-400F-8D27-97B091679729} No Task File Task: {8A0590FD-8DBA-408B-8C10-89BFB1F35A8E} - \{F7E633FF-9C35-4E9B-821D-C66E729A74D1} No Task File Task: {92D982E2-96E5-4F2F-89A6-B04FCB13024C} - \{75A83929-ADF6-46B0-8E48-329A3869F0CC} No Task File Task: {97F4616C-5E0F-495C-A95C-61EC2F6851AA} - \SidebarExecute No Task File Task: {9CC77333-A6C6-4DE3-8551-62CEB5B55255} - \RealPlayerRealUpgradeLogonTaskS-1-5-21-287265340-2162033715-3200400593-1001 No Task File Task: {A5AD95F1-8262-4F3B-A4F9-D7AC96A5FC24} - \{DADA96E0-C9B8-480B-BB1A-A881039DD469} No Task File Task: {ABA40052-725D-4F60-8F2A-A55B2743D7B9} - \RealDownloaderDownloaderScheduledTaskS-1-5-21-287265340-2162033715-3200400593-1001 No Task File Task: {AFC1D271-4D7C-45D8-B6D0-D38E7EFE80BB} - \Program aktualizacji online produktu Real Player. No Task File Task: {CB2785DB-FAFC-47E4-9044-9A7986E66482} - \{E4D5261F-BA1D-4E38-B62C-15F0D5476E6C} No Task File Task: {CBE2F9FF-59E5-41A0-9092-15B7331A587C} - \{5BCB4CC6-D71A-46EF-A9AA-9A0129F8F699} No Task File Task: {D485911B-EF3E-49F4-818E-1FC6E809AED3} - \User_Feed_Synchronization-{7FED5C06-C862-466E-906A-571B236BA1E1} No Task File Task: {D9CE7519-7D66-4354-BF43-5F6BA90EC9BC} - \GlaryUpdate No Task File Task: {DAC0EEB8-C5C4-45BE-B97D-633E79F7D4F7} - \GoogleUpdateTaskMachineCore No Task File Task: {E390EF55-34BE-4227-B073-40424E9FA63B} - \{DBC1F9B0-19EA-4AFD-BB92-64D42370DB8F} No Task File Task: {E9566D84-0832-4756-AE84-54D16F24E0DD} - \{FCF5B68F-8115-4DD9-9DE7-716973A23C6C} No Task File Task: {EAD7FB03-99F2-4966-BCE1-13956E55B8D4} - \GlaryInitialize No Task File Task: {EC8112B8-0604-46AE-9EA0-CFFF2B120F36} - \RealUpgradeScheduledTaskS-1-5-21-287265340-2162033715-3200400593-1001 No Task File Task: {EC8A1876-EA63-45A8-BB07-4472993091D8} - \{0F1147D8-58B7-42E2-B549-A882FD45B900} No Task File Task: {F0D691ED-5F2C-4294-95CB-F8E96058D347} - \{36DE1835-4A42-4861-B4A4-FF3D4B433110} No Task File Task: {F0F5DABD-12F1-4511-BC1D-8B71BE285458} - \{164A9143-7427-44D8-BFDF-3251712C8A1E} No Task File Task: {F92F5CF6-8844-4ABB-8C73-28F6EBEF60D7} - \Program aktualizacji online firmy Adobe. No Task File Task: C:\Windows\Tasks\GlaryInitialize.job => C:\Program Files\Glary Utilities\initialize.exe Task: C:\Windows\Tasks\GlaryUpdate.job => C:\Program Files\Glary Utilities\webupdate.exe DisableService: UleadBurningHelper R1 Avgdiskx; C:\Windows\System32\DRIVERS\avgdiskx.sys [120120 2013-08-01] (AVG Technologies CZ, s.r.o.) S3 hamachi; C:\Windows\System32\DRIVERS\hamachi.sys [26176 2009-03-18] (LogMeIn, Inc.) S3 cpuz134; \??\C:\TEMP\cpuz134\cpuz134_x32.sys [X] S4 LMIRfsClientNP; No ImagePath S3 NLNdisMP; system32\DRIVERS\nlndis.sys [X] S3 NLNdisPT; system32\DRIVERS\nlndis.sys [X] S3 Pcouffin; System32\Drivers\Pcouffin.sys [X] S3 wanatw; system32\DRIVERS\wanatw4.sys [X] S3 WFSONORA; system32\drivers\wfsonora.sys [X] FF DefaultSearchEngine,S: WebSearch FF DefaultSearchUrl: hxxp://websearch.searchfix.info/?unqvl=63&idate=2014/11/19&l=1&q= FF SearchEngineOrder.1: WebSearch FF SearchEngineOrder.1,S: WebSearch FF SelectedSearchEngine: Allegro FF SelectedSearchEngine,S: WebSearch FF Keyword.URL: hxxp://websearch.searchfix.info/?unqvl=63&idate=2014/11/19&l=1&q= FF Plugin: @adobe.com/ShockwavePlayer -> C:\Windows\system32\Adobe\Director\np32dsw_1214154.dll [2014-11-07] (Adobe Systems, Inc.) CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-287265340-2162033715-3200400593-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://websearch.searchfix.info/?unqvl=63&idate=2014/11/19 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKU\S-1-5-21-287265340-2162033715-3200400593-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bing.com SearchScopes: HKLM -> DefaultScope {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.searchfix.info/?unqvl=63&idate=2014/11/19&l=1&q={searchTerms} SearchScopes: HKLM -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.searchfix.info/?unqvl=63&idate=2014/11/19&l=1&q={searchTerms} SearchScopes: HKU\S-1-5-21-287265340-2162033715-3200400593-1001 -> {46622C9B-B6D3-4f77-9CFA-5762BC9A722F} URL = http://home.speedbit.com/search.aspx?aff=206&q={searchTerms} SearchScopes: HKU\S-1-5-21-287265340-2162033715-3200400593-1001 -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.searchfix.info/?unqvl=63&idate=2014/11/19&l=1&q={searchTerms} Toolbar: HKU\S-1-5-21-287265340-2162033715-3200400593-1005 -> No Name - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - No File CustomCLSID: HKU\S-1-5-21-287265340-2162033715-3200400593-1001_Classes\CLSID\{39125640-8D80-11DC-A2FE-C5C455D89593}\InprocServer32 -> C:\Users\Włodek\AppData\Local\Google\Google Talk Plugin\googletalkax.dll No File CustomCLSID: HKU\S-1-5-21-287265340-2162033715-3200400593-1001_Classes\CLSID\{AB9F4455-E591-4132-A386-0B91EAEDB96C}\InprocServer32 -> C:\Users\Włodek\AppData\Local\Google\Google Talk Plugin\o1dax.dll No File C:\ProgramData\mxnhytee.feu C:\Users\UpdatusUser\Desktop\*.lnk C:\Users\Włodek\AppData\Local\{AA15A737-1359-4DC7-857E-B73A86715A29} C:\Users\Włodek\AppData\Roaming\CrashRpt1402.dll C:\Users\Włodek\AppData\Roaming\Microsoft\Windows\SendTo\Foxit Readera.lnk C:\Users\Włodek\AppData\Roaming\Microsoft\Windows\SendTo\Foxmail.LNK C:\Users\Włodek\AppData\Roaming\Microsoft\Windows\SendTo\PDFXC viewer.lnk C:\Windows\System32\DRIVERS\avgdiskx.sys C:\Windows\System32\DRIVERS\hamachi.sys RemoveDirectory: C:\Program Files\Mozilla Firefox\extensions RemoveDirectory: C:\Program Files\Mozilla Firefox\plugins RemoveDirectory: C:\ProgramData\TEMP RemoveDirectory: C:\Users\UpdatusUser\AppData\Local\Google RemoveDirectory: C:\Users\Włodek\AppData\Roaming\Opera Software RemoveDirectory: C:\Windows\system32\Adobe RemoveDirectory: C:\Windows\System32\config\systemprofile\AppData\Local\AOL RemoveDirectory: C:\Windows\System32\config\systemprofile\AppData\Local\Avg2014 RemoveDirectory: C:\Windows\System32\config\systemprofile\AppData\Local\ESET RemoveDirectory: C:\Windows\System32\config\systemprofile\AppData\Local\GNU RemoveDirectory: C:\Windows\System32\config\systemprofile\AppData\Local\Google RemoveDirectory: C:\Windows\System32\config\systemprofile\AppData\LocalGoogle Unlock: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft Unlock: C:\Windows\System32\config\systemprofile\AppData\LocalLow Unlock: C:\Windows\System32\config\systemprofile\AppData\LocalLow\Microsoft Unlock: C:\Windows\System32\config\systemprofile\AppData\Roaming Folder: C:\Windows\System32\config\systemprofile\AppData Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKCU\Software\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f Reg: reg delete HKCU\Software\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f Reg: reg delete HKLM\SOFTWARE\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f Reg: reg delete HKLM\SOFTWARE\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f Reg: reg delete HKU\S-1-5-21-287265340-2162033715-3200400593-1005\Software\Google /f Reg: reg delete HKU\S-1-5-21-287265340-2162033715-3200400593-1005_Classes\CLSID /f Reg: reg delete HKU\S-1-5-21-287265340-2162033715-3200400593-1005\Software\Microsoft\Windows\CurrentVersion\Uninstall /f Reg: reg delete "HKU\S-1-5-21-287265340-2162033715-3200400593-1005\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-21-287265340-2162033715-3200400593-1005\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\egui" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan - dla Drivers + Services odznacz pole Whitelist, ponadto zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Wypowiedz się czy Acronis, RealPlayer oraz Sandboxie to programy faktycznie "zainstalowane". Również potwierdź mi czy w Firefox w spisie wtyczek pozycje pochodzące od RealPlayer oraz Real Alternative nie są aby zablokowane przez Firefox "z powodu niezgodności".

Na koniec zastosuj DelFix (pobrany GMER jednak musisz skasować ręcznie), następnie wyczyść foldery Przywracania systemu: KLIK. To tyle.

Dla świętego spokoju dodaj GMER, bo Shortcut i tak nie wniesie nic do opisywanych problemów. Z tym, że jak mówię nie sądzę by tu w ogóle chodziło o infekcję i podtrzymuję poprzednie wnioski.

Nie wiem co robiłeś, ale zawartość Fixlog mówi sama za siebie - pytajniki oznaczają, że zapisywano Fixlist w ANSI (znaki Unicode są tracone i przerabiane na pytajniki). Tym razem zadanie zostało wykonane. Ogólnie wszystko zrobione i możemy kończyć: Zastosuj DelFix, by usunąć resztę używanych narzędzi, oraz wyczyść foldery Przywracania systemu: KLIK.

Temat nie ma kwalifikacji na pobyt w dziale diagnostyki malware i zostaje przeniesiony do działu Windows. Nawiasem mówiąc, logi FRST nie są przeznaczone do diagnostyki rozszerzeń menu kontekstowych - FRST w ogóle nie skanuje tych obszarów. Temat zgłosiłeś jako "nierozwiązany", ale poprawną odpowiedź już otrzymałeś. To rozszerzenie powłoki należące do systemowej funkcji BitLocker - występuje nawet jeśli BitLocker nigdy nie był aktywowany, na edycjach wspierających tę funkcjonalność. U mnie również BitLocker nigdy nie był czynny, lecz posiadam strukturę menu kontekstowego BitLocker. Widoczną opcją jest u mnie ta aktywująca funkcję - Włącz funkcję BitLocker: Natomiast w rejestrze u mnie grubsza pula zarezerwowanych wpisów kontekstowych, uwzględniająca także wpisy gdy BitLocker zostanie uaktywniony (wtedy opcja "Włącz funkcję BitLocker" zostanie zastąpiona w menu przez pozycje typu "Zarządzaj funkcją BitLocker", "Zablokuj dysk" i pochodne): Z tym, że jest jedna niejasność. Mówisz, że w menu kontekstowym widzisz "encrypt-bde-elev", a to jest nazwa widziana tylko z poziomu rejestru. W menu kontekstowym ta opcja powina mieć nazwę jak z mojego obrazka, tzn. Włącz funkcję BitLocker z przypisaną flagą UAC. Tak więc potwierdź gdzie widzisz nazwę "encrypt-bde-elev" - w rejestrze czy bezpośrednio w menu (to drugie nie jest prawidłowe i może świadczyć o uszkodzeniu np. modulu DLL związanego z tym rozszerzeniem). Jeśli zaś o likwidacji z widoku mowa, prócz proponowanego rozwiązania z importem REG (obejmuje wszystkie wpisy, w tym te których nie widzisz obecnie - są już "schowane", bo Bitlocker nie jest czynny), możesz skorzystać także z deaktywacji konkretnej pozycji "encrypt-bde-elev" via ShellMenuView + restart: PS. Jeśli chodzi o błędy z Dziennika zdarzeń: Application errors: ================== Error: (07/01/2015 07:00:02 PM) (Source: Windows Backup) (EventID: 4103) (User: ) Description: Wykonanie kopii zapasowej nie zostało zakończone z powodu błędu zapisu w lokalizacji kopii zapasowej G:\. Błąd: Nie można odnaleźć lokalizacji kopii zapasowej lub jest ona nieprawidłowa. Przejrzyj ustawienia kopii zapasowej i sprawdź lokalizację kopii zapasowej. (0x81000006). Error: (07/01/2015 00:57:03 PM) (Source: Bonjour Service) (EventID: 100) (User: ) Description: Task Scheduling Error: m->NextScheduledSPRetry 15896 System errors: ============= Error: (07/04/2015 06:39:37 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Mobile Partner. OUC z powodu następującego błędu: %%1053 - Pierwszy błąd: wejdź do ustawień Kopii zapasowej Windows i usuń odwołanie do nieistniejącego nośnika. - Drugi błąd: odinstaluj Bonjour, o ile z niego nie korzystasz. - Trzeci błąd: w services.msc wyłącz usługę aktualizacyjną Mobile Partner. OUC.

Temat przenoszę do działu Windows. To nie jest problem infekcji. Usługa BITS jest niezbędna do funkcjonowania Windows Update (pobieranie i kolejkowanie) i jej aktywność jest prawdopodobnie związana z tym procesem. Wątpię czy tu się da cokolwiek zdziałać poza limitowaniem transferu BITS. System posiada taką opcję w postaci polityki GPO: Z klawiatury klawisz z flagą Windows + X > Uruchom > gpedit.msc > Konfiguracja komputera > Szablony administracyjne > Sieć > Usługa inteligentnego transferu w tle (BITS) > cała pula opcji limitujących aktywność transferu Tu opis obrazkowy pod Windows 7, w Windows 8.1 powinno być podobnie: KLIK.

Skasuj z dysku raport C:\Delfix.txt. Temat rozwiązany. Zamykam.

Nie wiem dlaczego utworzyłeś dwa posty z "nowymi logami", skoro przedział czasowy był bardzo krótki. Skleiłam tematy. Następnie dokonałeś kolejnej manipulacji - wcześniej był w temacie także log USBFix. On nadal będzie potrzebny, z opcji Listing przy podpiętych wszystkich zdefektowanych urządzeniach USB.

Na zakończenie: Usuń ręcznie pobrany GMER. Następnie zastosuj DelFix.

Tak, niewątpliwie nastąpiła tu ingerencja jakiejś infekcji - przypuszczalnie był uruchamiany jakiś crack. CCleaner został zablokowany metodą Debugger: IFEO\CCleaner64.exe: [Debugger] svchost.exe Akcje do wdrożenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: IFEO\CCleaner64.exe: [Debugger] svchost.exe CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction FF Plugin HKU\S-1-5-21-2175280591-3075794678-3676876584-1001: anvisoft.com/AdblockPlugin -> C:\ProgramData\Anvisoft\Anvi Smart Defender 2\extensions\npAdblockPlugin.dll No File CHR HKLM-x32\...\Chrome\Extension: [lhmiofmipcpmhgihiecmpiekcacigpgb] - C:\ProgramData\Anvisoft\Anvi Smart Defender 2\extensions\chrome.crx [Not Found] S3 VBoxNetFlt; \SystemRoot\system32\DRIVERS\VBoxNetFlt.sys [X] Task: {4A7C1A20-A2B7-4DF1-9EAB-B113D72E8CB7} - System32\Tasks\{927AD80D-2024-478F-809E-EB465E5B1B86} => pcalua.exe -a C:\Users\PC\Desktop\SAMSUNG_USB_Driver_for_Mobile_Phones\SAMSUNG_USB_Driver_for_Mobile_Phones.exe -d C:\Users\PC\Desktop\SAMSUNG_USB_Driver_for_Mobile_Phones C:\Users\PC\AppData\Local\69ff07055291669bb2b218.72821112 C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CCleaner.lnk C:\Users\PC\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384} Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Podsumuj czy są jeszcze jakieś problemy.

1. Teraz możesz już zainstalować najnowszą wersję przeglądarki - link w przyklejonym: KLIK. 2. Następnie zrób dla pewności jeszcze jeden log FRST z opcji Scan (bez Addition i Shortcut).

Skasuj z dysku C:\Delfix.txt. To tyle. Temat zamykam.

Zadania wykonane pomyślnie, ale jeszcze nie koniec akcji. Otwórz Notatnik i wklej w nim: CMD: type C:\Windows\System32\GroupPolicy\Machine\Registry.pol C:\Windows\System32\GroupPolicy\GPT.INI C:\Windows\System32\GroupPolicy\Machine C:\Windows\System32\GroupPolicy\User C:\Windows\SysWOW64\GroupPolicy\gpt.ini Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny fixlog.txt. Przedstaw go.